[07/02/2022] La Oficina Federal de Investigaciones (FBI, por sus siglas en inglés) de EE.UU. ha publicado una advertencia en la que se describen las TTP (tácticas, técnicas y protocolos) de Emennet Pasargad, con sede en Irán, al parecer una empresa de ciberseguridad e inteligencia que presta servicios a organismos gubernamentales iraníes, para ayudar a los destinatarios a informarse y defenderse de las actividades maliciosas del grupo.
En la Notificación de la Industria Privada del FBI, la agencia confirma que dos ciudadanos iraníes empleados por Emennet fueron acusados de intrusión y fraude cibernético, intimidación de votantes, amenazas interestatales y conspiración por el Departamento de Justicia de Estados Unidos.
Además, la Oficina de Control de Activos Extranjeros del Departamento del Tesoro alega que Emennet, junto con los dos nacionales iraníes acusados, intentó influir en las elecciones presidenciales estadounidenses del 2020.
La notificación señalaba que Emennet llevó a cabo una campaña de interferencia en las elecciones, obteniendo información confidencial de los votantes de los sitios web de las elecciones estatales, enviando correos electrónicos intimidatorios a los votantes, elaborando y distribuyendo videos de desinformación sobre las vulnerabilidades de las votaciones, y pirateando las redes informáticas de las empresas de comunicación. Durante la campaña, los malos actores se hicieron pasar por miembros de los Proud Boys, una organización estadounidense de extrema derecha, neofascista y exclusivamente masculina.
"Esta campaña de injerencia escarba en la santidad misma de la democracia estadounidense, ya que estos actores se hicieron pasar intencionadamente por extremistas racistas para amenazar e intimidar a la gente", afirmó Liz Miller, analista de Constellation Research. "Aquí es cuando los ciberataques son realmente la munición elegida en un juego mucho más peligroso".
La Emennet también ha sido vinculada a anteriores operaciones de ciberinteligencia y hacking, sobre todo utilizando personajes de falsa bandera como el "Yemen Cyber Army" en el 2018.
El FBI describe las tácticas de ciberinteligencia y hackeo
Una táctica por la que Emennet ha sido conocida es la de llevar a cabo el reconocimiento de objetivos potenciales, y luego trabajar para identificar cualquier punto de entrada, incluyendo software o sistemas vulnerables, según el aviso. Esto se hace generalmente llevando a cabo primero una búsqueda aleatoria en la web como "sitio de noticias estadounidense principal", y luego escaneando los activos de red de los sitios web resultantes en busca de vulnerabilidades.
El PIN del FBI, publicado la semana pasada, enumera los CVE (vulnerabilidades y exposiciones comunes) más comunes y recientes que Emennet ha encontrado para explotar, que incluyen:
- CVE-2019-0232: Una vulnerabilidad de argumentos de línea de comandos específica de Windows en el servlet CGI de Apache Tomcat (versiones 9.0.0.M1 a 9.0.17, 8.5.0 a 8.5.39 y 7.0.0 a 7.0.93) que permite la RCE (ejecución remota de código).
- CVE 2019-9546: Esta vulnerabilidad permite la escalada de privilegios a través del servicio RabbitMQ en SolarWinds Orion Platform antes del 2018.
- CVE-2018-1000001: Una vulnerabilidad de confusión en el uso de getcwd() por realpath() en glibc 2.26 y anteriores que podría permitir una potencial ejecución de código.
- CVE-2018-7600: Permite la ejecución de código arbitrario por parte de atacantes debido a una configuración de módulos por defecto de Drupal (en 7x,8.3x,8.4x y 8.5x antes de 7.58, 8.3.9, 8.4.6 y 8.5.1 respectivamente).
- CVE-2017-5963: Permite la ejecución arbitraria de código HTML y script en caddy antes de 7.2.10 debido a una vulnerabilidad derivada de un filtrado insuficiente de los datos suministrados por el usuario.
Cada una de estas vulnerabilidades ha sido parcheada en actualizaciones posteriores por los proveedores.
"Aunque no es esencialmente una amenaza más significativa que las otras que hay, el hecho de que Emennet explote sistemas y aplicaciones 'bastante comunes' como Wordpress, Drupal, Apache Tomcat, es exactamente la razón por la que la industria privada debería sentarse y tomar nota", sostiene Miller. "Los lugares comunes se pasan por alto fácilmente".
El uso de herramientas de código abierto por parte de Emennet, como páginas web que ejecutan código PHP o páginas con bases de datos MySQL accesibles desde el exterior, proporcionan una sólida visión al sector privado sobre las técnicas de ataque y las redes y sistemas vulnerables, según Miller.
Para ocultar sus huellas, se cree que Emennet utiliza servicios de VPN como TorGuard, CyberGhost, NordVPN y Private Internet Access.
El grupo, además, demostró su interés en aprovechar los servicios de SMS masivos para su propaganda de difusión masiva. El FBI añadió que Emennet representa una amplia amenaza para la ciberseguridad, con posibles actividades de explotación que abarcan varios sectores, como el de las noticias, el transporte marítimo, los viajes (hoteles y aerolíneas), la energía y las telecomunicaciones.
Las recomendaciones incluyen aspectos básicos como firewalls, parches
El FBI recomienda habilitar y actualizar el software antimalware y antivirus, adoptar servicios eficaces de detección de amenazas a nivel de red, dispositivo, sistema operativo, aplicación y servicio de correo electrónico, y considerar servicios de alojamiento y CMS (sistema de gestión de contenidos) de buena reputación para configurar las aplicaciones orientadas al exterior, además de identificar y parchear los CVE mencionados.
También se aconseja emplear un firewall de aplicaciones web (WAF) y aplicar las restricciones del CMS, como la desactivación de la edición remota de archivos, la ejecución de archivos en directorios específicos y la limitación de los intentos de inicio de sesión, como algunas precauciones de nivel básico.
"Los informes emitidos por las agencias federales, especialmente este aviso sobre los vectores de ataque, los comportamientos de los malos actores y los patrones TTP, son otra capa crítica de inteligencia e información a la que todos los involucrados en la seguridad deberían acceder e incluir en su recopilación de información", indica Miller. "Aparte de las recomendaciones más obvias y básicas proporcionadas en el aviso, los CISO deben tomar nota de todos los CVE críticos identificados en el documento".
Basado en el artículo de Shweta Sharma (CSO) y editado por CIO Perú